Как запретить потоковое мультимедиа Squid`ом?

Пробовал создавать блэк-листы с километровыми списками - не помогает.

Создавай вайт-листы и блокируй все остальное. https без наркомании не перекроешь.

Рабочий способ: введи логирование и в конце месяца к начальнику с отчётом о том, кто и где сидит.

А дальше соответствующие административные меры от руководства на лиц занимающихся не тем на рабочем месте.

ПО делающее скриншоты в случайные моменты времени + доска почета, где вывешиваются герои месяца и подробное описание их предпочтений

Не поможет. Поржут всем коллективом - не более.

А за такое - побьют

Думал над этим. Показалось, что слишком уж радикально. Но если ничего не придумается другого - так и поступлю.

Ну так в начале всё согласуешь с руководством, издаётся приказ, в котором прописано что нельзя смотреть потоковое видео или прочее и указано, что будут вестись логи. С приказом все сотрудники ознакамливаются под роспись.

Далее ты официально сдаёшь логи в конце месяца.

Всё.

Неееее... Претит мне это. Проще полностью перекрыть доступ ко всему https

белый список на неограниченной скорости, а остальное на урезанной и пускай смотрят сколько угодно

ну это невыход, тем более найдут обходные маневры. А в чем причина борьбы?Если приказа от начальства нет, и если начальство смотрит сквозь пальцы - то пускай смотрят. Политики безопасноси только выкрутить на максимум, чтоб никакие приложения не запускались, кроме рабочих. А так закрывать можно долго, я с одной сотрудницей месяц боролся (у меня был приказ от начальству никаких соцсетей, все были ознакомленны в чем и расписались), она находит проксю, я ее блочу минут через 40, потом уволилась. Кстати сквид позволял блочить по расширениям, правда с потоковым видео наверно не прокатит, но у потокового видео наверняка есть характерный зоголовок и его можно порезать на iptables. Режет же youta торенты

Да вы батенька моралист. При этом странный.
На почти любой технический метод будет найден метод обхода. Видел как народ даже свои 3g модемы на работу таскал. Без административных мер с реальными карами рублем это будет просто борьба с ветряными мельницами.

начальство «спалило» одного смотрельщика, штрафануло, но когда тот, обидевшись на штраф, собрался увольняться, начальство смягчилось. Штраф отменили, а мне велели «сделать так» чтобы никто и ничего смотреть не мог. То есть перекрыть полностью потоковое мульти-медиа. Про обходные манёвры - конеш это будет, но потом. Мне сейчас надо настроить блокировку и свалить в отпуск. А можно поподробнее про «характерный заголовок»? Я-то думал https тупо шифруется и шлюз просто не видит что там внутри.

подробно не скаджу предпологаю только, многие провайдеры шейперят всякие торренты и другие пиринговые сети, там ведь тоже ssl используется значит как то распознают. Попробуй wireshark что том в пакетиках бегает. Без приказа офицального чтоб все в нем расписались, такое делать нельзя, когда есть приказ - ты на него указываешь и говоришь, вот это начальство, а я выполняю свои обязанности. Второй вариант попытатся настроить шейпинг и ограничить скорость для трафика который будет сразу пытатся отожрать весь канал, скажем до 8кб - это явно не даст смотреть видео https://habrahabr.ru/post/119611/ https://habrahabr.ru/post/88624/

Каюсь... Грешен...

спасибо за наводку. Буду гуглить.

зачем запрещать, лучше подмени транслируемый поток на гей-порно

Подмена сертификата с установкой на каждый комп?

Ээээээ... сцыкотно сертификаты трогать... Я не так хорош в Линуксе.

А вот если ограничить размер загружаемого файла? Или https не покажет сквиду разме файла, который тянет?

Введи ограничение трафика, скажем 2Гб в месяц с привязкой к мак адресу.

не годится. у нас частенько архивы качают с обменников

Там сегментированный поток, а не файлы.

Нашёл. Установил и настроил DansGuardian + Webmin чтобы ручками правила не писать. Кому надо - могу дать линк на мануал. Всё работает как надо. Завтра посижу с тонкой настройкой ключевых фраз и кодировок. Всем спасибо за помощь.

На почти любой технический метод будет найден метод обхода. Видел как народ даже свои 3g модемы на работу таскал. Без административных мер с реальными карами рублем это будет просто борьба с ветряными мельницами.

Полностью согласен. Сам когда-то в кач-ве помощи в «борьбе с ограничениями» для коллег находил способы обхода доступа к вырвиглазникам. Административно было не запрещено, блокируют одну проксю, находим другую и так месяц за месяцем. И это в более жестких условиях чем у ТС - доступ в инет только через непрозрачного кальмара.
Но это было давно и не правда )

Видел как народ даже свои 3g модемы на работу таскал.

Так же, в той же конторе, позже(когда usb мопеды в массы пошли) наблюдал такое, и это еще более лютый «полярный лис», безопасность идет на... , сотни человек в инет выходят без прикрытой попы.
Ладно, со временем админы осилили запретить usb девайсы(далеко не везде), но... тут уже пришла пора массовых смартов/планшетов/да-и-ноутов-тоже. Вобщем опять всем пофиг.

Итого:

Без административных мер с реальными карами рублем это будет просто борьба с ветряными мельницами.

Просто повторюсь, я с вами полностью согласен, без варианта запрещено все что не разрешено «это будет просто борьба с ветряными мельницами»

Просто перекрыть https - нельзя

http://wiki.squid-cache.org/Features/SslPeekAndSplice

Я бы сделал так. Кто не соглашается на подменный сертификат или не ходит по https или получает от начальства.

acl cont-type-video rep_mime_type Content-Type video.

http_reply_access deny cont-type-video

не работает

ок, можно без начальства. у тебя radmin/vnc/teamviewer есть? мониторь трафик, цепляй на самого прожорливого, и если он полез прон/дом2 смотреть - открывай блокнот и пиши что-нибудь доброе и хорошее. обычно хорошо напугать хватает

Идея ничего, но поправлю.
Зачем блокнот? Вроде была команда для рассылки сообщений (емнип net send). А можно по жестче shutdown, у него вроде была возможность указать комментарий почему ребутим, с тем же «доброе и хорошее» а-ля «ваш комп заражен вирусами из-за просмотра порнухи, пользуйтесь гандонами» и прописать в «крон»(крон образно, я хз что там у винды сейчас, но at наверное оставили) весьма весело может получиться.
ЗЫ А если хотя бы в зачаточной стадии программирования под вын силен, то можно и порно банер зафигачить. Да вообще много интересного можно сделать. Мы по молодости развлекались над друг другом на первое апреля (бывало и не только на первое апреля) всякими безобидными(кому-то и обидное было) самописными софтинками.

ок, можно без начальства

Так можно и себя нехило подставить. Без приказа начальство и передумать может. Пожалуется кто, будут разборки. Без приказа я бы вообще не начинал ничего делать. А шугануть можно просто - опубликовать первую десятку и на стол начальнику. Пущяй сам со всеми разбирается.

А сервисы потокового видео можно вычислять по логам. Проблема в том, что их много. Запретить на оборудовании SOHO всё не получится, поэтому я бы предпочел административный путь. Иначе просто блочить всё по логу в squid. Смотреть каждый день статы и блочить жирное.

Без приказа начальство и передумать может. Пожалуется кто

На что? На то что их запалили когда они дом2 на работе смотрели?

Блокнот довольно эффективен так как всегда есть и юзер может ответить в нем же. Очень забавно помню было читать такие извинения мол «я ж одним глазком». Типа «большой брат бдит», все дела. С net send куча косяков, он работает криво и далеко не всегда, и все фаеровлы его блочат по жизни. Да и прямой контроль нужен - у нас один чёрт с такой скоростью в юр.базе рылся в три окна что полтора мегабита внешки жрал

Но да, запузырить свой скринлок со скриптуемым текстом было бы забавно. И прямо перед локом скрин делать чтоб не отвертелись. Но вот за такое начальство правда может поколотить. А просто напугать это безобидно с точки зрения бизнеса

Ну зная наши конторы... тут кум там сват, а тут сынишку пристроить начальником вохр...

Потому только дать понять что админ все видит. Просто даже сынок не будет папке ябедить мол «Я на работе вконтакте, а меня запалили».

Но да, запузырить свой скринлок со скриптуемым текстом было бы забавно. И прямо перед локом скрин делать чтоб не отвертелись. Но вот за такое начальство правда может поколотить. А просто напугать это безобидно с точки зрения бизнеса

Вы и правы и нет, с точки зрения бизнеса не исключен вариант что вы и блокнотом прервете работу, все зависит от.....многих нюансов.
Но если подходить к вопросу как вы написали «напугать» то и ребуты/блокировка(на самом деле нет, достаточно формочки на весь экран) норм сработают, и вот тут палева меньше, хтож докажет что это сделал ты? С блокнотом палева больше :)

Я просто сам через такое всё проходил когда был молодой и зелёный. Юзеры очень сильно бугуртят когда понимают что админ всё знает. И тут зависит всё от здравого смысла руководства, а он не всегда есть.

Ну, тоже верно. Помню хохму когда ком.директор лок словил типа «за детское порно» и позвонил в панике. Вот тогда я на нем оторвался

Я бы так сказал - для младшего персонала блокнот збс (коллцентр так от вк отучали). Старшим да, надо беспалива.

Кстати, есть же и под венду удаленная консоль (забыл название), можно из нее пускать. Форму в полный экран сделать за полчаса можно. Через vnc/radmin в read-only пропалил и пустил с консоли

Юзеры очень сильно бугуртят когда понимают что админ всё знает.

Далеко не все и далеко не всегда. Так же реальный пример, дано: есть лимит на юзвера в месяц, в отсутствии нач. отдела его падаваны за день на проне усе исчерпали еще в начале месяца. Ну он просто сказал да и юх с ним с инетом.
Пример два (обратный): Сами юзверы (со скажем так далеко не высшего уровня) попросили ввести ограничения по всяким соц. сетям, т.е. инициатива снизу, т.к. туча долбодятлов нихрена не делала а зависала в соцсетях.
А вот «бугуртят» по моей практике те кто нифига не делает. Причем бугурт вида «вы же за нами следите», да нах мне и коллегам еще время на тебя тратить, своей работы хватает.

Кстати, есть же и под венду удаленная консоль (забыл название), можно из нее пускать. Форму в полный экран сделать за полчаса можно. Через vnc/radmin в read-only пропалил и пустил с консоли

Я об этом же. Не помню название команды, но она есть :) А по части скриншотов - так же можно и без «vnc/radmin» обойтись, емнип это одна функция в выньапи. Было бы желание и время, а вариантов просто тьма. :) Помню спецом под первое апреля наваял софтинку которая дырки в формах делает и другу подсунул, но вот незадача получилась я позже на работу приезжал, а другу немного попортил сам рабочий момент :(

Доброго всем ещё раз. Тема конеш уже решена, но тут подвернулся интересный мануал, в котором весьма доходчиво рассказано как поднять прозрачный https прокси на сквиде. Хотелось бы послушать мнение опытных. Мануал тут

Особенно вашего мнения, о рекомом мануале, мне хотелось бы услышать.

Да, он работает. Но это не спасет вас от километровых списков. Из-за letsencrypt получить валидный сертификат сейчас - минутное дело, поэтому вполне возможен вариант, что вам все равно придется собирать статистику по доменам из сертификатов и каждую неделю обновлять блеклист.

Спасибо вам. У меня немного другой вопрос: если будет работать прозрачный https прокси, то, получается, DansGuardian будет так же прекрасно блочить всё непотребство, приходящее по https, как и то, что приходит по http?

И в догонку ещё один вопросец по мануалу - там указано, что:

Чтобы все нужные нам плюшки заработали, надо компилировать Squid с нужными опциями, поэтому внесем в debian/rules следующие опции компиляции:

--enable-ssl --enable-ssl-crtd --with-openssl

Мануалу уже порядочно времени - нужно ли сейчас, вносить эти опции компиляции, при условии что мой шлюз собран из ветки testing?

Насчет DansGuardian ничего сказать не могу, не встречался с ним.

Опции сборки - да, скорее всего нужны, изначально оно вроде без ssl идет. Я не дебианщик, не помню, какой там дефолт. Но вообще в мануале сильно форсится конкретная версия сквида - не знаю, насколько это актуально, но я б задумался =)

ниже, в UPD указывается, что версия сборки со сквидом 4.0.х была осуществлена БЕЗ lbressl и всё так же работает.

Спасибо вам за помощь. Ушёл пробовать и тестить.

Сквид4 вроде как в стадии релиз кандидата и в дебиане его нет даже в анстейбл. Но если починили - можете попробовать накатить RC.

у меня сейчас стоит версия 4.0.2

У меня free-sa отчет каждые 30 мин сколько куда и в какое время узер качает смотрит По его данным режу скорости наиболее резвым . так как фри са дает просмотр на вебморду можно ненароком его дать на просмотр всем.:))